Rubrik: Produkte/Hintergrund

Datensicherheit ist in den Speicherumgebungen oft nicht oder nur geringfügig gewährleistet

Datensicherheit fängt beim Speichern an

(06.06.05) - Die Vorteile moderner und innovativer Technologien zur Speicherung großer Daten-mengen sind hinreichend bekannt. Je nach Anwendungsumgebung ermöglichen insbesondere NAS- und SAN-Speicherlösungen eine hohe Skalierbarkeit und eine wesentlich verbessertes Manage-ment der Daten bei deutlich gesenktem Total Cost of Ownership. Jedoch haben auch diese Technologieren Kehrseiten. Beispielsweise erhöhen sie durch die Flexibilität und Vielfältigkeit das Sicherheitsrisiko bezüglich dem unautorisierten Datenzugriff. Daten lassen sich leicht manipulieren, kopieren oder löschen - versehentlich oder aus krimineller Intension.

Das Gefahrenpotential ist Realität

Wie hoch ist das Gefahrenpotential tatsächlich oder ist Storage Security nur ein neuer Trend von pfiffigen Marketingstrategen? Einige spektakuläre Beispiele aus der jüngsten Zeit zeigen, dass die Datensicherheit in den Speicherumgebungen nicht oder nur geringfügig gewährleistet ist. Unternehmen schützen ihre Daten zumeist nur gegen Gefahren von Außen mittels VPN-, SSL- oder ähnlichen Lösungen und kümmern sich nur selten um Gefahren und Bedrohungen aus dem Inneren des Unternehmens kommen. Zwei drittel aller aktiven oder unbeabsichtigten Systemangriffe in Deutschland - so das Bundeskriminalamt - gehen auf das Konto der eigenen Angestellten. Die Schäden werden in Deutschland für 2003 auf 6,8 Milliarden Euro geschätzt und das Bundeskrimi-nalamt geht von einer enorm großen Dunkelziffer aus. Beispielsweise wurden in 2003 acht Millionen weltweite Kreditkartendaten bei Visa, Amex und Mastercard von Hackern gestohlen. Im May 2004 wurden sowohl von Cisco als auch von Microsoft Source Codes und damit enorme Werte entwen-det. Im Juni 2004 verkaufte ein AOL Software Engineer 92 Millionen Namen für rund 100.000 Dollar an Spammer! Auch deutsche Konzerne, beispielsweise aus dem Finanzbereich oder dem Auto-mobilbau sind betroffen.

Doch die Gefahr basiert nicht ausschließlich auf krimineller Energie. Menschliche Fehler tragen auch dazu bei, dass unberechtigte den Zugriff auf sensible Daten bekommen. Beispielsweise ein versehentlich falsches Zoning im Speichernetz könnte unautorisierten Personen Zugriff auf Daten geben. Durch die Verschlüsselung sind diese jedoch geschützt beziehungsweise für den Unauto-risierten unbrauchbar.

Heute üblichen Schutzmaßnahmen sind nicht ausreichend

Die eigentliche Gefahr liegt in den undifferenzierten Zugangsmöglichkeiten und der verteilten Speicherung von Daten. Die heute übliche Schutzmaßnahmen, wie beispielsweise die Zuweisung dedizierter Laufwerke zu Abteilungen oder Applikationen oder die Vergabe der Zugangsrechte per Active Directory, sind nicht ausreichend. Es ist sehr einfach diese Hürden zu umgehen oder den Zugriff aufgrund von fehlerhaften Konfigurationen, beispielsweise in einem Switch, zu erhalten. Insbesondere sind für Administration alle Daten frei zugänglich - sowohl für interne Mitarbeiter als auch für externe Dienstleister. Weiterhin sind Offsite-gelagerte Tape-Cartridges mit unver-schlüsselten Daten ein großes Sicherheitsrisiko. Diese Tapes können völlig unkompliziert von einer Vielzahl an unautorisierten Personen gelesen werden. Ein ähnliches Risiko besteht bei Storage Outsourcing. Schon eine simple Änderung des Zoning bewirkt, dass ein Unternehmen oder eine einzelne Person ungehinderten Zugriff auf fremde Daten erhält - ein Horrorszenario für jedes Unternehmen, das hochsensible und geheime Daten gespeichert hat.

Datenverschlüsselung von Anfang an

Eine gute Möglichkeit Daten zu schützen ist die Verschlüsselung. "Data at Rest", also Daten die auf Speichersystemen liegen, sind durch Verschlüsselungs-Tools wesentlich besser vor unbe-rechtigten Zugriffen geschützt als durch Sicherheitstechnologieren, die erst bei "Data in Flight" also Daten im Datenverkehr, zum tragen kommen. Die verschlüsselten Daten sind in den Speicher-lösungen durchgängig chiffriert und liegen zu keinem Zeitpunkt im Klartext vor. Ohne passenden Dechiffrierschlüssel sind sie unbrauchbar.

Software-Lösungen oder Appliances?

Die Verschlüsselung von Daten wird heute von einigen Herstellern angeboten. Der wesentliche Unterschied der einzelnen Lösungen liegt in der Software- oder Hardwaretechnologie und den Authentifizierungsverfahren. Die größere Auswahl besteht in Software-Lösungen welche auf die existierenden Systeme installiert werden. Diese Systeme erfüllen die Aufgaben der Verschlüs-selung zuverlässig, führen jedoch automatisch zu Performance-Belastungen der Speicher-, Netzwerk- und Serverstrukturen. Die Software muss auf allen Clients installiert werden was die Administration und damit die Total Cost of Ownership deutlich erhöht. Zudem begibt man sich in eine direkte Abhängigkeit von Betriebssystems- und Applikations-Upgrades.

Hardware-Lösungen hingegen bestehen aus integrierten Appliances die alle Arbeitsschritte erledigen und dabei keine weiteren Ressourcen belasten. In den Appliances liegt die gesamte Intelligenz der Datenverschlüsselung, Authentifizierung, des Key-Management und der Proto-kollierung. Sie sind transparent und damit relativ unkompliziert in existierende Speicherumgebungen integrierbar und erfordern keine Anpassungen der Server oder Applikationen.

Hardwarelösungen auf Basis von Appliances bietet seit September 2004 auch das Unternehmen Decru in Europa an. Die "DataFort"-Storage-Security-Appliances sind für den Einsatz in DAS-, SAN-, NAS-, iSCSI- und Tape-Umgebungen konzipiert und sind in vielen internationalen Unternehmen sowie in Verwaltungen und militärischen Einrichtungen erfolgreich im Einsatz.

Standards und Sicherheits-Level

Datenverschlüsselungslösungen basieren auf bewährten Standards. Einer der bekanntesten und sichersten Standards ist der AES 256-Standard, der bis heute noch nie geknackt wurde. Darüber hinaus existieren international anerkannte Sicherheitslevel von unterschiedlichen Einrichtungen und Gremien für das gesamte Verschlüsselungs- und Authentifizierungssystem. Gute Lösungen bieten beispielsweise den Sicherheitslevel FIPS 140-2 Level 3, der eine absolute Sicherheit der Hardware und der Schlüsselverwaltung attestiert. FIPS 140-2 Level 3 ist der derzeit höchste Sicherheitslevel, mit dem eine Produkt ausgezeichnet werden kann. Ein weiteres Sicherheitsprädikat dem die Storage-Security-Lösungen entsprechen sollten, ist der Common Criteria EAL-4+. Dies sind die höchsten Sicherheitsstufen weltweit und entsprechen den Anforderungen der Gesetzgeber und Staatlichen Vorschriften. Selbst der BND, die CIA oder das US-Militär vertrauen ausschließlich diesen Standards.

Authentifizierung

Eine Verschlüsselung der Daten ist nur sicher wenn auch die Verwaltung der Zugriffsschlüssel und die Vergabe der Nutzungsrechte ausreichend vor unberechtigten Zugriffen geschützt sind. Nur dann ist gewährleistet, dass ohne entsprechende Berechtigung die Daten entweder nicht zugänglich sind und aufgrund der Verschlüsselung nicht gelesen werden können. Um die Schlüsselrechte zu vergeben und zu administrieren, müssen diese in Datenbanken abgelegt und dort ebenfalls von unberechtigten Zugriffen gesichert werden. Um diese Gefahr auszuschließen und damit nicht eine einzelne Person die Schlüssel verwalten, ändern oder löschen kann, ist oftmals der Zugang zur Schlüsselverwaltung durch die Bestätigung mehrerer Personen möglich (beispielsweise mit Key-Cards).

Prognose

Das Sicherheitsbewusstsein in Unternehmen bezüglich potentieller Gefahren ist seit den großen Virenattacken, Hacker-Angriffen und insbesondere seit dem 11. September deutlich gestiegen und es kommen vielerlei Sicherheitslösungen zum Einsatz. Die Sensibilität bezüglich der internen Gefahrenquellen ist noch gering obwohl die stark verteilten Speichernetzwerke von heute diese Gefahrenquelle erst in großem Umfang ermöglichen. Das tatsächlich existierende Gefahrenpotential beweisen die vielen Fälle von unberechtigten Datenzugriffen oder kriminellen Handlungen, wie beispielsweise Industriespionage oder der illegale Verkauf von sensiblen und geheimen Unterneh-mensdaten. Doch langsam wächst auch im Speicherbereich das Sicherheitsbewusstsein und beispielsweise Gartner prognostiziert, dass bis 2007 rund 80 Prozent der Fortune 1000 Unter-nehmen ihre Daten verschlüsselt haben. (Decru: ra)